paip.账务系统的安全性

paip.账务系统的安全性

许多业务系统都需要用到账务系统，比如彩票投注系统。。

这里有一此安全性的需要分享一下。

1.账务模块的开发语言，最好用JAVA/ asp.net， 不要用PHP和ASP一类的可看到源代码的语言。。

2.扎总帐。。应该时刻生成一个账单总结。。包括但不限于如下：

当前充值金额：当前消费金额:当前提现金额（包括在途冻结部分）：当前总余额：当前返奖总额 

应该有以下公式:  充值金额+返奖总额-消费金额-提现金额===余额...

为了安全起见，每当一个用户操作都进行一次轧账...为了用户体验，可以充许一定程序的金额差错，超过此金额应该整个账务系统锁定，同时通知管理员，以便查找情况..

3.扎帐要有MD5签名一类的。要有KEY加入到签名中...这个KEY本身就是加密过的，然后使用的时候在代码中进行解密。。。如果是PHP，ASP系统，最好这个KEY调用JAVA/。NET系统模块...

4.单个用户扎账。。上面算的是后台管理的总账。。每个用户也需要扎账。，万一出现金额不对的情况以便查找,。。原则上用户每进行一次交易行为就要进行一次轧账。。

5.用户账务模块自动锁定，当轧账出现问题时，需要自动锁定出问题的用户....自动及时提示管理员，以及当前用户.

6.用户的每次余额改动需要做签名，以防有漏洞直接通过SQL更改..包括交易纪录中的余额...

7.用户的每条交易纪录都需要进行签名存储...

8.交易密码：最好采用动太手机验证.

9.提现审核：大额应该人工审核，小额可自动放行...